Google a en effet révélé qu'un bug dans l'API Google+ a exposé les données de 52,5 millions d’utilisateurs, et par conséquent, il précipite la fermeture de Google+.
Précédemment, son arrêt définitif avait été annoncé pour le mois d’Août 2019. Maintenant, il fermera 4 mois plus tôt, soit en Avril 2019.
Google va également fermer les API Google+ plus tôt que prévu précédemment, soit dans 90 jours.
La société explique qu'un "bug " a été introduit dans une mise à jour logicielle en Novembre, mais dit qu'il a été corrigé dans la semaine, comme le précise David Thacker de l'équipe G Suite dans son post :
Aucune partie tierce n’a compromis nos systèmes, et nous n'avons aucune preuve que les développeurs d'applications qui, par inadvertance, avaient cet accès pendant 6 jours étaient conscients de ce bug ou l'ont mal utilisé de quelque façon.
Avec la découverte de ce nouveau bug, nous avons décidé d'accélérer la fermeture de toutes les API Google+.
Cela se produira dans les 90 jours à venir.
En outre, nous avons également décidé d'avancer la fermeture aux consommateurs de Google+, d'Août 2019 à Avril 2019.
Bien que nous reconnaisons que cela crée des implications pour les développeurs, nous voulons assurer la protection de nos utilisateurs.
Détails sur le bug et l’investigation de Google
D’après Google, ses tests ont révélé qu'une API Google+ ne fonctionnait pas comme prévu. Il a corrigé le bug rapidement et commencé une enquête sur le problème.
Son investigation sur l'impact du bug est en cours, mais voici ce qu’il a appris jusqu'à présent :
- Google confirme que le bug a touché environ 52,5 millions d’utilisateurs dans le cadre d'une API Google+.
- En ce qui concerne cette API, les applications qui ont demandé l'autorisation d'afficher les informations de profil qu'un utilisateur avait ajoutées à son profil Google+, telles que son nom, son adresse e-mail, sa profession, son âge (liste complète ici), ont obtenu l'autorisation d'afficher des informations de profil sur cet utilisateur.
Et ce, alors même que ses paramètres étaient réglés sur “non-public”.
- En outre, les applications ayant eu accès aux données du profil Google+ d'un utilisateur ont également eu accès aux données du profil qui ont été partagées avec l'utilisateur consentant par un autre utilisateur de Google+, mais qui n'ont pas été partagées publiquement.
- Le bug n'a pas donné aux développeurs l'accès à des informations telles que des données financières, des numéros d'identification nationaux, des mots de passe ou des données similaires généralement utilisées pour la fraude ou le vol d'identité.
- Aucune partie tierce n'a compromis ses systèmes, et il n'a aucune preuve que les développeurs qui ont eu cet accès par inadvertance pendant 6 jours en étaient conscients ou qu'ils l'utilisaient de quelque façon que ce soit.
Toute personne qui a été affectée par la fuite de données sera contactée par Google.
Reconnaissant la crainte que cette dernière révélation provoquera, Google conclut son post en disant :
Nous comprenons que notre capacité à créer des produits fiables qui protègent vos données entraîne la confiance des utilisateurs.Les utilisateurs ont maintenant jusuq’au mois d’Avril 2019, date de fermeture définitive anticipée, pour télécharger toutes les données de leurs activités sur Google+.
Nous avons toujours pris cela au sérieux, et nous continuons d'investir dans nos programmes de protection de la vie privée pour affiner les processus internes d'examen de la vie privée, créer de puissants contrôles de données et interagir avec les utilisateurs, les chercheurs et les décideurs pour obtenir leurs commentaires et améliorer nos programmes.
Nous n'arrêterons jamais notre travail pour construire des protections de la vie privée qui fonctionnent pour tout le monde.
